[File System] NTFS (32) - $LogFile, $UsnJrnl 구조체

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS에서 $LogFile과 $UsnJrnl 파일에 대해 알아보겠습니다. 모두 화이팅하세요 !!!

 

$LogFile 파일

MFT 엔트리 2번 입니다.

NTFS 저널로 사용됩니다.

저널링(Journaling) : 그 일을 정상적으로 끝내지 못했다면 그 일이 있기 전의 상태로 되돌리는 개념입니다 (= Logging)

볼륨에서 일어나는 트랜잭션에 대한 정보를 갖고 있습니다.

2개의 영역으로 나뉩니다.

 

재시작 구역 (Restart Area)

마지막으로 정보가 수정되었던 영역을 가리키고 있는 영역입니다.

로깅 구역 (Logging Area)

발생한 트랜잭션의 기록을 저장합니다.

로깅 기록이 끝까지 다 차게 되면 다시 처음으로 돌아가서 기록됩니다.

 

 

$LogFile 데이터는 NTFS Log Tracker를 이용하여 쉽게 분석할 수 있습니다.

https://sites.google.com/site/forensicnote/ntfs-log-tracker

 

 

 

$UsnJrnl 파일

변경 저널은 응용프로그램 레벨에 속하며, 파일에서 변경이 일어날 때 기록됩니다.

 

<비교 개념>

$LogFile

수행되는 작업이 트랜잭션 단위로 관리됩니다.

오류 복구가 목적입니다.

$UsnJrnl

수행이 끝난 후 어떤 일이 일어났었는지만을 기록합니다.

어떤 일이 수행되었는지 확인하는 것이 목적입니다.

어떤 일이 수행되었다는 정보만 갖고 있습니다.

즉 세부적으로 어떻게 수행되었는지에 관한 정보는 없습니다.

정보는 예약된 MFT 엔트리에 위치하지 않는 \$Extend\$UsrJrnl 파일에 저장됩니다.

2개의 $DATA 속성을 갖습니다.

 

$J

Journal Entry 라는 데이터 구조체를 갖습니다.

이 엔트리에는 파일 또는 디렉토리의 변경 정보가 포함되어 있습니다.

이 변경 정보는 시간 순서대로 기록됩니다.

특정 시간대에 어떤 파일들이 변경되었는지 조사할 때 유용합니다.

 

$Max

저널 데이터의 관리 정보를 갖고 있다.

 

$UsnJrnl 데이터도 NTFS Log Tracker를 이용하면 쉽게 분석할 수 있습니다.

https://sites.google.com/site/forensicnote/ntfs-log-tracker

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)